Inloggen

Gegevensverwerkingsovereenkomst

Laatst bijgewerkt: 15 April 2026

Deze Data Processing Agreement (“DPA”) maakt deel uit van de overeenkomst tussen de entiteit die is geïdentificeerd in het Accsible-account (“Klant”, “Verwerkingsverantwoordelijke”) en Denizcom Ltd, handelend onder de naam Accsible, geregistreerd op 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Verenigd Koninkrijk (“Accsible”, “Verwerker”), en vormt een aanvulling op de Gebruiksvoorwaarden en het Privacybeleid (samen de “Hoofdovereenkomst”).

Deze DPA is van toepassing wanneer en voor zover Accsible Persoonsgegevens verwerkt namens de Klant in het kader van het leveren van de Dienst. Zij is bedoeld om naleving te waarborgen van Artikel 28 van de UK GDPR, de EU GDPR (Verordening 2016/679) en andere toepasselijke wetgeving inzake gegevensbescherming.

1. Definities

In deze DPA, tenzij de context anders vereist:

  • “Wetgeving inzake gegevensbescherming” — de UK GDPR, de EU GDPR, de Data Protection Act 2018, de Privacy and Electronic Communications Regulations 2003 en alle andere toepasselijke wetgeving inzake gegevensbescherming.
  • “Persoonsgegevens” — alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die door Accsible wordt verwerkt namens de Klant onder de Hoofdovereenkomst.
  • “Verwerken” — elke bewerking die wordt uitgevoerd op Persoonsgegevens, waaronder het verzamelen, vastleggen, opslaan, opvragen, gebruiken, verstrekken, wissen of vernietigen.
  • “Subverwerker” — elke derde partij die door Accsible wordt ingeschakeld om Persoonsgegevens te verwerken namens de Klant.
  • “Betrokkene” — de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
  • “Eindgebruiker” — een bezoeker van de website van de Klant die interacteert met de Accsible Widget.
  • “Beveiligingsincident” — een inbreuk in verband met persoonsgegevens die leidt tot de toevallige of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Persoonsgegevens.
  • “SCC’s” — de Standaardcontractbepalingen die zijn goedgekeurd door de Europese Commissie (Besluit 2021/914) of de UK International Data Transfer Agreement (IDTA), indien van toepassing.

2. Reikwijdte & details van de verwerking

2.1 Onderwerp

Accsible levert een toegankelijkheidswidget en SaaS-platform. Wanneer de Klant de Widget integreert op zijn website(s), verwerkt Accsible bepaalde Persoonsgegevens van Eindgebruikers namens de Klant.

2.2 Duur

De verwerking begint wanneer de Klant de Widget activeert en loopt gedurende de duur van de Hoofdovereenkomst. Bij beëindiging is Sectie 11 van deze DPA van toepassing.

2.3 Aard en doel van de verwerking

Aspect Detail
Doel Het leveren en exploiteren van de toegankelijkheidswidget; het verstrekken van gebruiksstatistieken en toegankelijkheidsscores aan de Klant via het Dashboard; het verwerken van feedback die door Eindgebruikers wordt ingediend.
Aard van de verwerking Verzameling, opslag, aggregatie, analyse en verwijdering van Persoonsgegevens voor zover nodig om de Dienst te leveren.

2.4 Soorten Persoonsgegevens

  • IP-adressen (geanonimiseerd voor analytics; volledig IP in beveiligingslogs tot maximaal 90 dagen)
  • Browsertype, versie en user agent-string
  • Type apparaat en besturingssysteem
  • Bezochte pagina’s en tijdstempels op de website van de Klant
  • Toegankelijkheidsvoorkeuren geselecteerd door Eindgebruikers (lokaal opgeslagen op het apparaat van de Eindgebruiker; niet verzonden tenzij feedback wordt ingediend)
  • Feedbackinzendingen (naam en/of e-mailadres indien vrijwillig verstrekt door de Eindgebruiker)
  • Geaggregeerde paginabezoekstatistieken

2.5 Categorieën van Betrokkenen

  • Eindgebruikers — bezoekers van de website(s) van de Klant die interacteren met de Accsible Widget
  • Personeel van de Klant — personen die toegang hebben tot het Accsible Dashboard namens de Klant

3. Verplichtingen van de Klant (Verwerkingsverantwoordelijke)

De Klant zal:

  • Zorgen voor een rechtmatige grondslag voor het Verwerken van Persoonsgegevens en voor het instrueren van Accsible om deze te verwerken.
  • Alle vereiste kennisgevingen verstrekken en alle noodzakelijke toestemmingen verkrijgen van Betrokkenen zoals vereist door de Wetgeving inzake gegevensbescherming, waaronder het informeren van Eindgebruikers over het gebruik van de Accsible Widget in het eigen privacybeleid van de Klant.
  • Ervoor zorgen dat zijn instructies aan Accsible in overeenstemming zijn met de Wetgeving inzake gegevensbescherming.
  • Accsible onverwijld op de hoogte stellen van eventuele wijzigingen in de toepasselijke Wetgeving inzake gegevensbescherming die van invloed kunnen zijn op de verwerkingsverplichtingen van Accsible.

4. Verplichtingen van Accsible (Verwerker)

Accsible zal:

  • Persoonsgegevens alleen verwerken op gedocumenteerde instructies van de Klant (inclusief de instructies uiteengezet in deze DPA en de Hoofdovereenkomst), tenzij verwerking vereist is op grond van toepasselijk recht — in welk geval Accsible de Klant zal informeren vóór de verwerking, tenzij het wettelijk verboden is dit te doen.
  • Ervoor zorgen dat personen die gemachtigd zijn om Persoonsgegevens te verwerken zich hebben verbonden tot vertrouwelijkheid of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.
  • De technische en organisatorische beveiligingsmaatregelen implementeren en handhaven zoals beschreven in Sectie 5.
  • Voldoen aan de voorwaarden voor het inschakelen van Subverwerkers zoals uiteengezet in Sectie 6.
  • De Klant bijstaan, door middel van passende technische en organisatorische maatregelen, bij het nakomen van zijn verplichting om te reageren op verzoeken van Betrokkenen (Sectie 7).
  • De Klant bijstaan bij het waarborgen van de naleving van zijn verplichtingen op grond van de Artikelen 32–36 van de GDPR (beveiliging, meldplicht datalekken, effectbeoordelingen en voorafgaande raadpleging), rekening houdend met de aard van de verwerking en de informatie waarover Accsible beschikt.
  • Na keuze van de Klant alle Persoonsgegevens wissen of teruggeven bij beëindiging van de Hoofdovereenkomst (Sectie 11).
  • Alle informatie beschikbaar stellen aan de Klant die nodig is om de naleving van de verplichtingen van Artikel 28 van de GDPR aan te tonen, en audits en inspecties toestaan en daaraan bijdragen (Sectie 10).
  • De Klant onmiddellijk informeren indien naar de mening van Accsible een instructie van de Klant in strijd is met de Wetgeving inzake gegevensbescherming.

5. Beveiligingsmaatregelen

Accsible implementeert en onderhoudt de volgende technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen toevallig verlies, vernietiging of beschadiging:

5.1 Technische maatregelen

  • Encryptie tijdens transport met TLS/HTTPS voor alle verbindingen, inclusief CDN-levering, API-communicatie en Dashboard-toegang.
  • Wachtwoord-hashing met behulp van gesalte, eenrichtingscryptografische algoritmen.
  • Content Security Policy (CSP)-headers om cross-site scripting en injectie-aanvallen te beperken.
  • DDoS-bescherming via Cloudflare.
  • Foutmonitoring (Sentry) geconfigureerd om alle tekst te maskeren en alle media in sessie-opnames te blokkeren.
  • Anonimisering van IP-adressen bij de verwerking van analytics.
  • Toegankelijkheidsvoorkeuren van Eindgebruikers opgeslagen in lokale browseropslag (alleen aan de apparaatkant; niet verzonden naar servers tenzij feedback wordt ingediend).

5.2 Organisatorische maatregelen

  • Rolgebaseerde toegangscontroles; toegang tot Persoonsgegevens is beperkt tot personeel dat deze nodig heeft om zijn taken uit te voeren.
  • Vertrouwelijkheidsverplichtingen voor alle medewerkers en opdrachtnemers met toegang tot Persoonsgegevens.
  • Regelmatige beveiligingsbeoordelingen en monitoring van de infrastructuur.
  • Procedures voor incidentrespons zoals beschreven in Sectie 8.
  • Bewaarbeleid dat ervoor zorgt dat Persoonsgegevens niet langer worden bewaard dan noodzakelijk (zie Sectie 9).

6. Subverwerkers

6.1 Algemene machtiging

De Klant verleent Accsible een algemene schriftelijke machtiging om Subverwerkers in te schakelen om specifieke verwerkingsactiviteiten uit te voeren namens de Klant. Accsible zal aan elke Subverwerker verplichtingen inzake gegevensbescherming opleggen die niet minder beschermend zijn dan die in deze DPA, via een schriftelijke overeenkomst.

6.2 Huidige Subverwerkers

De volgende Subverwerkers zijn ingeschakeld op de datum van deze DPA:

Subverwerker Doel Locatie
Cloudflare, Inc. CDN, DDoS-bescherming, contentlevering voor Widget en API Wereldwijd (hoofdkantoor in de VS); EU/UK-gegevensverwerking onder SCC’s
Functional Software, Inc. (Sentry) Foutmonitoring en prestatie-diagnostiek VS; verwerking onder SCC’s
Google LLC (Google Analytics) Geaggregeerde websiteverkeersstatistieken (alleen op basis van toestemming) VS; verwerking onder SCC’s en EU-VS Data Privacy Framework
Stripe, Inc. Betalingsverwerking en abonnementsbeheer VS; PCI DSS Level 1 gecertificeerd; verwerking onder SCC’s

6.3 Wijzigingen in Subverwerkers

Accsible zal de Klant per e-mail ten minste 30 dagen van tevoren op de hoogte stellen voordat een Subverwerker wordt toegevoegd of vervangen. De kennisgeving zal de naam van de Subverwerker, de verwerking die hij zal uitvoeren en de locatie bevatten.

Indien de Klant een redelijke bezwaren heeft tegen een nieuwe Subverwerker op grond van gegevensbescherming, zal de Klant Accsible binnen 14 dagen na ontvangst van de kennisgeving schriftelijk informeren. Partijen zullen het bezwaar te goeder trouw bespreken. Indien partijen het bezwaar niet binnen 30 dagen kunnen oplossen, kan de Klant de betreffende Dienst beëindigen door schriftelijke kennisgeving, en Accsible zal eventueel vooruitbetaalde vergoedingen terugbetalen voor het ongebruikte deel van de abonnementsperiode.

7. Rechten van Betrokkenen

Accsible zal, rekening houdend met de aard van de verwerking, de Klant bijstaan door middel van passende technische en organisatorische maatregelen om zijn verplichtingen na te komen om te reageren op verzoeken van Betrokkenen die hun rechten uitoefenen onder de Wetgeving inzake gegevensbescherming, waaronder:

  • Recht op inzage
  • Recht op rectificatie
  • Recht op wissing (“recht om vergeten te worden”)
  • Recht op beperking van de verwerking
  • Recht op gegevensoverdraagbaarheid
  • Recht van bezwaar

Indien Accsible een verzoek rechtstreeks van een Betrokkene ontvangt met betrekking tot de gegevens van de Klant, zal Accsible de Betrokkene onverwijld doorverwijzen naar de Klant en de Klant op de hoogte stellen van het verzoek, tenzij het wettelijk verboden is dit te doen. Accsible zal niet rechtstreeks op dergelijke verzoeken reageren, tenzij daartoe geïnstrueerd door de Klant of vereist door de wet.

8. Kennisgeving van Beveiligingsincidenten

8.1 Kennisgeving

Accsible zal de Klant op de hoogte stellen van elk bevestigd Beveiligingsincident zonder onredelijke vertraging en in ieder geval binnen 48 uur nadat het hiervan kennis heeft gekregen. De kennisgeving wordt verzonden naar het e-mailadres dat is gekoppeld aan het account van de Klant (of een alternatief adres dat door de Klant voor dit doel is aangewezen).

8.2 Inhoud van de kennisgeving

De kennisgeving zal, voor zover op dat moment beschikbaar, het volgende bevatten:

  • Een beschrijving van de aard van het Beveiligingsincident, inclusief de categorieën en het geschatte aantal Betrokkenen en gegevensrecords waarop het betrekking heeft.
  • De naam en contactgegevens van het contactpunt bij Accsible.
  • Een beschrijving van de waarschijnlijke gevolgen van het incident.
  • Een beschrijving van de genomen of voorgestelde maatregelen om het incident aan te pakken, inclusief maatregelen om de gevolgen ervan te beperken.

8.3 Voortdurende verplichtingen

Accsible zal verdere informatie verstrekken zodra deze beschikbaar komt en zal meewerken aan redelijke verzoeken van de Klant om het Beveiligingsincident te onderzoeken, te verhelpen en de gevolgen ervan te beperken. Accsible zal de Klant ook bijstaan bij het nakomen van zijn eigen meldingsverplichtingen aan toezichthoudende autoriteiten en Betrokkenen op grond van de Artikelen 33 en 34 van de GDPR.

8.4 Registratie

Accsible zal een register bijhouden van alle Beveiligingsincidenten, inclusief de feiten rond het incident, de gevolgen en de genomen corrigerende maatregelen.

9. Bewaring van gegevens

Accsible bewaart Persoonsgegevens die onder deze DPA worden verwerkt als volgt:

  • Beveiligingslogs (volledige IP-adressen): Tot maximaal 90 dagen, daarna permanent verwijderd.
  • Geaggregeerde analytics-gegevens: Maandelijks geanonimiseerd; individuele sessiegegevens worden niet bewaard.
  • Feedbackinzendingen van Eindgebruikers: Bewaard gedurende de looptijd van de Hoofdovereenkomst; verwijderd binnen 30 dagen na beëindiging.
  • Foutmonitoringgegevens (Sentry): Tot maximaal 90 dagen.
  • Widget-gebruiksstatistieken: Geaggregeerd en geanonimiseerd; er worden geen gegevens op individueel niveau bewaard na verwerking.

Accsible zal Persoonsgegevens niet langer bewaren dan noodzakelijk is voor de doeleinden van het leveren van de Dienst of zoals vereist door toepasselijk recht.

10. Audits & naleving

10.1 Informatie

Accsible zal aan de Klant, op redelijke aanvraag, alle informatie beschikbaar stellen die redelijkerwijs noodzakelijk is om de naleving aan te tonen van zijn verplichtingen onder deze DPA en Artikel 28 van de GDPR.

10.2 Auditrechten

De Klant (of een onafhankelijke externe auditor die door de Klant is aangesteld) kan een audit uitvoeren van de verwerkingsactiviteiten en beveiligingsmaatregelen van Accsible, onder de volgende voorwaarden:

  • De Klant zal ten minste 30 dagen van tevoren schriftelijk kennis geven van een auditverzoek.
  • Audits worden uitgevoerd tijdens normale kantooruren (maandag–vrijdag, 09:00–18:00 GMT) en zullen de activiteiten van Accsible niet onredelijk verstoren.
  • De Klant mag niet meer dan één audit per periode van 12 maanden uitvoeren, tenzij dit wordt vereist door een toezichthoudende autoriteit of naar aanleiding van een bevestigd Beveiligingsincident.
  • De auditor is gebonden aan geheimhoudingsverplichtingen die niet minder beschermend zijn dan die in de Hoofdovereenkomst.
  • Accsible kan aan een auditverzoek voldoen door een actueel SOC 2 Type II-rapport, ISO 27001-certificaat of gelijkwaardige onafhankelijke certificering te verstrekken, indien beschikbaar.

10.3 Samenwerking

Accsible zal samenwerken met de Klant en elke toezichthoudende autoriteit die toegang vereist tot de faciliteiten of administratie van Accsible in verband met deze DPA.

11. Teruggave & verwijdering van gegevens

Bij beëindiging of afloop van de Hoofdovereenkomst kan de Klant binnen 30 dagen verzoeken dat Accsible:

  • Alle Persoonsgegevens teruggeeft in een gestructureerd, gangbaar en machineleesbaar formaat; of
  • Alle Persoonsgegevens verwijdert en de verwijdering schriftelijk bevestigt.

Indien de Klant geen verzoek indient binnen 30 dagen na beëindiging, zal Accsible alle Persoonsgegevens permanent verwijderen, behalve voor zover bewaring vereist is op grond van toepasselijk recht (bijv. factureringsgegevens voor fiscale naleving). Wanneer bewaring wettelijk vereist is, zal Accsible de gegevens isoleren en beschermen en de verwerking beperken tot het doel dat door de wet wordt voorgeschreven.

12. Internationale doorgiften

Accsible is gevestigd in het Verenigd Koninkrijk. Wanneer Persoonsgegevens worden doorgegeven aan Subverwerkers die zich buiten het VK of de EER bevinden, zorgt Accsible ervoor dat passende waarborgen worden getroffen, waaronder:

  • UK International Data Transfer Agreement (IDTA) of UK Addendum bij SCC’s
  • EU Standaardcontractbepalingen (SCC’s) — Commissiebesluit 2021/914
  • Passendheidsbesluiten van de Britse Secretary of State of de Europese Commissie
  • Indien van toepassing, aanvullende aanvullende maatregelen zoals aanbevolen door de ICO of EDPB

Een kopie van het relevante overdrachtsmechanisme zal op schriftelijk verzoek aan de Klant beschikbaar worden gesteld.

13. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid zoals uiteengezet in de Hoofdovereenkomst (Gebruiksvoorwaarden), behalve dat geen van beide partijen aansprakelijkheid uitsluit of beperkt voor inbreuken op de Wetgeving inzake gegevensbescherming voor zover een dergelijke uitsluiting of beperking niet is toegestaan op grond van toepasselijk recht.

14. Looptijd & voorrang

14.1 Looptijd

Deze DPA treedt in werking op de datum waarop de Klant de Accsible Widget voor het eerst integreert en blijft van kracht gedurende de looptijd van de Hoofdovereenkomst, en daarna totdat alle Persoonsgegevens zijn verwijderd of teruggegeven in overeenstemming met Sectie 11.

14.2 Voorrang

In geval van tegenstrijdigheid tussen deze DPA en de Hoofdovereenkomst, prevaleert deze DPA met betrekking tot de verwerking en bescherming van Persoonsgegevens.

14.3 Wijzigingen

Accsible kan deze DPA bijwerken om wijzigingen in de Wetgeving inzake gegevensbescherming of verwerkingsactiviteiten weer te geven. Materiële wijzigingen worden ten minste 30 dagen van tevoren per e-mail aan de Klant meegedeeld. Voortgezet gebruik van de Dienst na de ingangsdatum van de wijzigingen houdt aanvaarding in.

15. Contact

Voor vragen of verzoeken met betrekking tot deze DPA kunt u contact met ons opnemen via:

  • Contactpersoon gegevensbescherming: [email protected]
  • Beveiligingsincidenten: [email protected]
  • Geregistreerd kantoor: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Verenigd Koninkrijk
  • ICO-registratie: ZC114350